Qué es un certificado SSL y por qué tu web lo necesita

Qué es un certificado SSL y por qué tu web lo necesita

Un certificado SSL es uno de los elementos básicos de seguridad que toda web debería tener. Si tienes un blog, una tienda online, una web corporativa, una landing page, una academia, una página de reservas o cualquier proyecto digital, necesitas que tu sitio cargue con HTTPS y muestre el candado de conexión segura en el navegador.

Hoy, una web sin SSL transmite desconfianza, puede mostrar avisos de “sitio no seguro”, perjudicar la experiencia de usuario, dificultar conversiones y generar problemas si recoges datos mediante formularios, pagos, registros o suscripciones.

Aunque muchas personas siguen diciendo “certificado SSL”, técnicamente lo correcto hoy sería hablar de certificado TLS. SSL fue el protocolo original, pero evolucionó hacia TLS, que es el estándar moderno. Aun así, el término “SSL” se sigue usando de forma popular para referirse a los certificados que permiten activar HTTPS en una web. Cloudflare explica que SSL evolucionó hacia TLS y que los certificados SSL/TLS permiten establecer conexiones seguras entre navegador y servidor.

En esta guía veremos qué es un certificado SSL, cómo funciona, qué tipos existen, por qué tu web lo necesita, cómo instalarlo, qué errores evitar y cómo comprobar si está bien configurado.

Mejores servicios de almacenamiento en la nube para empresas
Table
  1. Qué es un certificado SSL
    1. Ejemplo sencillo
    2. Qué ves como usuario
    3. Qué ocurre si una web no tiene SSL
  2. SSL, TLS y HTTPS: diferencias importantes
    1. SSL
    2. TLS
    3. HTTPS
    4. Resumen rápido
  3. Cómo funciona un certificado SSL
    1. Paso 1: el usuario entra en la web
    2. Paso 2: el servidor presenta el certificado
    3. Paso 3: el navegador verifica el certificado
    4. Paso 4: se crea una conexión cifrada
    5. Paso 5: el usuario navega con HTTPS
  4. Qué información contiene un certificado SSL
    1. Clave pública y clave privada
    2. Autoridad certificadora
  5. Por qué tu web necesita un certificado SSL
  6. 1. Protege los datos de los usuarios
    1. Ejemplo
  7. 2. Genera confianza en los visitantes
    1. La confianza afecta a la conversión
  8. 3. Es importante para el SEO
    1. SSL y SEO técnico
  9. 4. Evita avisos de “sitio no seguro”
  10. 5. Es imprescindible para tiendas online
    1. Aunque uses Stripe, PayPal o Redsys
  11. 6. Es necesario para formularios y captación de leads
  12. 7. Mejora la profesionalidad de tu marca
  13. 8. Permite usar tecnologías modernas
  14. Tipos de certificados SSL
  15. Certificado DV
    1. Ventajas
    2. Inconvenientes
    3. Para quién es recomendable
  16. Certificado OV
    1. Ventajas
    2. Inconvenientes
    3. Para quién es recomendable
  17. Certificado EV
    1. Ventajas
    2. Inconvenientes
    3. Para quién es recomendable
  18. Certificado Wildcard
    1. Ventajas
    2. Inconvenientes
    3. Para quién es recomendable
  19. Certificado multidominio
    1. Ventajas
    2. Inconvenientes
    3. Para quién es recomendable
  20. Certificado autofirmado
    1. Ventajas
    2. Inconvenientes
    3. Para quién es recomendable
  21. Certificado SSL gratuito vs certificado SSL de pago
    1. Certificados gratuitos
    2. Ventajas
    3. Inconvenientes
    4. Certificados de pago
    5. Ventajas
    6. Inconvenientes
    7. Cuál elegir
  22. Cuánto cuesta un certificado SSL
    1. SSL gratuito
    2. SSL DV de pago
    3. SSL Wildcard
    4. SSL OV
    5. SSL EV
    6. Coste real
  23. Cambios recientes en la duración de los certificados SSL/TLS
    1. Qué significa esto para tu web
    2. Riesgo principal
    3. Recomendación
  24. Qué pasa cuando un certificado SSL caduca
    1. Consecuencias
    2. Cómo evitarlo
  25. Cómo saber si tu web tiene SSL
    1. 1. Mira la URL
    2. 2. Revisa el icono del navegador
    3. 3. Comprueba el certificado
    4. 4. Usa herramientas externas
    5. 5. Revisa Search Console
  26. Cómo instalar un certificado SSL
  27. Instalar SSL en un hosting compartido
  28. Instalar SSL en WordPress
    1. Plugins útiles
    2. Cuidado
  29. Instalar SSL en Cloudflare
    1. Recomendación
    2. Cuidado con Flexible SSL
  30. Instalar SSL en VPS o servidor propio
    1. Servidores habituales
  31. Instalar SSL en Shopify, Wix, Squarespace o plataformas SaaS
  32. Qué es el contenido mixto
    1. Por qué es un problema
    2. Tipos de contenido mixto
    3. Cómo solucionarlo
  33. Cómo migrar una web de HTTP a HTTPS sin perder SEO
    1. Paso 1: instala el certificado
    2. Paso 2: fuerza redirección 301
    3. Paso 3: actualiza URLs internas
    4. Paso 4: actualiza canonical
    5. Paso 5: actualiza sitemap
    6. Paso 6: actualiza robots.txt si hace falta
    7. Paso 7: añade la propiedad en Search Console
    8. Paso 8: actualiza enlaces externos importantes
    9. Paso 9: revisa contenido mixto
    10. Paso 10: monitoriza tráfico
  34. Errores frecuentes con certificados SSL
    1. Certificado caducado
    2. Certificado para otro dominio
    3. Cadena incompleta
    4. Contenido mixto
    5. Redirecciones mal configuradas
    6. Certificado autofirmado en producción
    7. TLS antiguo
    8. No renovar certificados en servidores secundarios
  35. SSL y ecommerce
    1. Zonas críticas
    2. Riesgos de no tener SSL
    3. Recomendación
  36. SSL y WordPress
    1. Pasos recomendados
    2. Errores comunes en WordPress
  37. SSL y SEO: buenas prácticas
    1. Usa HTTPS en toda la web
    2. Redirige HTTP a HTTPS
    3. Evita versiones duplicadas
    4. Actualiza canonical
    5. Actualiza sitemap
    6. Actualiza enlaces internos
    7. Revisa hreflang
    8. Revisa datos estructurados
    9. Revisa enlaces en Search Console
  38. Qué es HSTS
    1. Ventajas
    2. Inconvenientes
    3. Cuándo activarlo
  39. Qué es TLS 1.3
    1. Ventajas
    2. Recomendación
  40. Qué es OCSP stapling
    1. Ventajas
  41. SSL en subdominios
    1. Opciones
    2. Cuidado
  42. SSL en CDN
    1. Error habitual
    2. Recomendación
  43. SSL y correo electrónico
  44. SSL y APIs
    1. Riesgos de APIs sin HTTPS
  45. Certificados SSL y cumplimiento legal
  46. Mitos sobre los certificados SSL
    1. “SSL hace que mi web sea totalmente segura”
    2. “Si tengo candado, la web es legítima”
    3. “Un SSL de pago cifra más que uno gratuito”
    4. “Solo las tiendas online necesitan SSL”
    5. “Instalar SSL mejora automáticamente mi SEO”
    6. “Con Cloudflare Flexible SSL ya es suficiente”
  47. Checklist para saber si tu SSL está bien configurado
    1. Certificado
    2. HTTPS
    3. Seguridad
    4. SEO
  48. Cómo comprobar la calidad de tu configuración SSL
    1. Qué buscar
  49. SSL para blogs
    1. Motivos
    2. Recomendación
  50. SSL para empresas
    1. Recomendaciones
  51. SSL para ecommerce
    1. Recomendaciones
  52. SSL para SaaS y aplicaciones web
    1. Recomendaciones
  53. SSL para Tecno Info Hoy o un blog tecnológico
    1. Por qué
    2. Recomendación
  54. Cómo elegir el certificado SSL adecuado
    1. Si tienes un blog
    2. Si tienes una web corporativa pequeña
    3. Si tienes una tienda online
    4. Si tienes varios subdominios
    5. Si tienes varias marcas o dominios
    6. Si eres banco, fintech o gran empresa
  55. Cómo mantener tu SSL correctamente
    1. Automatiza la renovación
    2. Configura alertas
    3. Haz inventario
    4. Revisa tras migraciones
    5. Evita claves privadas expuestas
    6. Usa herramientas de monitorización
  56. Problemas SEO comunes tras instalar SSL
    1. Caída temporal de tráfico
    2. Google indexa ambas versiones
    3. Páginas no indexadas
    4. Recursos rotos
  57. Preguntas frecuentes sobre certificados SSL
    1. ¿Qué es un certificado SSL?
    2. ¿SSL y TLS son lo mismo?
    3. ¿Qué significa HTTPS?
    4. ¿Mi web necesita SSL?
    5. ¿Necesito SSL si solo tengo un blog?
    6. ¿SSL mejora el SEO?
    7. ¿Un certificado SSL gratuito es suficiente?
    8. ¿Cuándo necesito un SSL de pago?
    9. ¿Qué es Let’s Encrypt?
    10. ¿Cada cuánto se renueva un SSL?
    11. ¿Qué pasa si mi certificado caduca?
    12. ¿Qué es un certificado Wildcard?
    13. ¿Qué es un certificado multidominio?
    14. ¿Qué es contenido mixto?
    15. ¿Cómo soluciono el contenido mixto?
    16. ¿Necesito SSL si uso Cloudflare?
    17. ¿Qué SSL necesito para WordPress?
    18. ¿Qué SSL necesito para WooCommerce?
    19. ¿Qué SSL necesito para varios subdominios?
    20. ¿Qué SSL necesito para varias marcas?
    21. ¿El candado significa que la web es 100 % segura?
    22. ¿Cómo compruebo si mi SSL está bien instalado?
    23. ¿Debo activar HSTS?
    24. ¿Qué pasa si migro de HTTP a HTTPS mal?
    25. ¿Cuál es la recomendación final?

Qué es un certificado SSL

Un certificado SSL es un archivo digital instalado en el servidor de una web que permite cifrar la comunicación entre el navegador del usuario y el sitio web.

Cuando una web tiene SSL correctamente configurado, su dirección empieza por:

https://

En lugar de:

Cómo crear una tienda online segura: hosting, pagos y protección de datos

http://

Ese cambio aparentemente pequeño es muy importante. La “S” final significa secure, es decir, conexión segura.

Cloudflare define un certificado SSL como un archivo alojado en el servidor de origen de una web que permite usar HTTPS y contiene la clave pública del sitio, su identidad y otra información relacionada.

Ejemplo sencillo

Imagina que un usuario entra en una web y rellena un formulario con:

IA para empresas: herramientas que automatizan tareas y reducen costes
  • Nombre.
  • Email.
  • Teléfono.
  • Contraseña.
  • Dirección.
  • Datos de pago.
  • Mensaje privado.

Si la web usa HTTP, la información viaja sin cifrado adecuado. Eso significa que podría ser interceptada más fácilmente por terceros en determinadas circunstancias, especialmente en redes WiFi públicas o inseguras.

Si la web usa HTTPS mediante un certificado SSL/TLS, la comunicación se cifra. Aunque alguien intentara interceptarla, no debería poder leer fácilmente los datos transmitidos.

Qué ves como usuario

Cuando una web tiene SSL, normalmente ves:

  • Dirección con https://.
  • Icono de candado o controles de seguridad en el navegador.
  • Ausencia de aviso de “no seguro”.
  • Conexión cifrada.
  • Mayor confianza para navegar, comprar o enviar datos.

Qué ocurre si una web no tiene SSL

Una web sin SSL puede mostrar:

Mejores plataformas de firma digital para documentos online
  • Aviso de “No seguro”.
  • Formularios menos confiables.
  • Problemas con pagos.
  • Pérdida de confianza.
  • Mayor riesgo en transmisión de datos.
  • Peor percepción profesional.
  • Posibles problemas técnicos con navegadores, APIs o integraciones modernas.

SSL, TLS y HTTPS: diferencias importantes

Para entender bien este tema, conviene separar tres conceptos: SSL, TLS y HTTPS.

SSL

SSL significa Secure Sockets Layer. Fue el protocolo original diseñado para proteger comunicaciones en internet.

Hoy SSL como protocolo está obsoleto, pero el nombre se sigue usando popularmente.

Cuando alguien dice “necesito un certificado SSL”, normalmente se refiere a un certificado moderno usado con TLS.

TLS

TLS significa Transport Layer Security. Es la evolución moderna y segura de SSL.

TLS es el protocolo que realmente se usa hoy para cifrar la comunicación entre navegador y servidor.

HTTPS

HTTPS significa Hypertext Transfer Protocol Secure. Es la versión segura de HTTP.

Cloudflare explica que HTTPS no es un protocolo completamente separado de HTTP, sino HTTP usando cifrado TLS/SSL. HTTPS se basa en certificados TLS/SSL para verificar el sitio y cifrar la comunicación.

Resumen rápido

ConceptoQué significaEstado actual
HTTPProtocolo web sin cifradoNo recomendado para webs modernas
HTTPSHTTP con cifrado TLS/SSLRecomendado
SSLProtocolo antiguo de seguridadObsoleto como protocolo, usado como término popular
TLSProtocolo moderno de seguridadEstándar actual
Certificado SSL/TLSCertificado que permite HTTPSNecesario para una web segura

Cómo funciona un certificado SSL

El funcionamiento técnico de SSL/TLS puede parecer complejo, pero la idea principal es sencilla: permite que navegador y servidor se comuniquen de forma cifrada y verificada.

Paso 1: el usuario entra en la web

El usuario escribe una dirección como:

https://tudominio.com

El navegador intenta establecer una conexión segura con el servidor.

Paso 2: el servidor presenta el certificado

El servidor envía al navegador su certificado SSL/TLS.

Ese certificado contiene información como:

  • Dominio para el que fue emitido.
  • Clave pública.
  • Autoridad certificadora que lo emitió.
  • Fecha de emisión.
  • Fecha de caducidad.
  • Firma digital.
  • Tipo de certificado.

Paso 3: el navegador verifica el certificado

El navegador comprueba que:

  • El certificado es válido.
  • No ha caducado.
  • Corresponde al dominio visitado.
  • Fue emitido por una autoridad certificadora confiable.
  • No ha sido revocado.
  • La cadena de confianza está correctamente configurada.

Paso 4: se crea una conexión cifrada

Si todo es correcto, navegador y servidor negocian claves de sesión y establecen un canal cifrado.

A partir de ese momento, los datos viajan protegidos.

Paso 5: el usuario navega con HTTPS

El usuario puede enviar formularios, iniciar sesión, comprar o navegar con una conexión segura.

Qué información contiene un certificado SSL

Un certificado SSL/TLS suele incluir:

  • Nombre del dominio.
  • Clave pública.
  • Autoridad certificadora emisora.
  • Número de serie.
  • Fecha de inicio de validez.
  • Fecha de caducidad.
  • Algoritmo de firma.
  • Información de la organización, si aplica.
  • Dominios alternativos incluidos.
  • Firma digital de la autoridad certificadora.

Clave pública y clave privada

El certificado contiene una clave pública. La clave privada se queda en el servidor y debe protegerse.

La seguridad depende de que la clave privada no se filtre. Si alguien obtiene esa clave, podría comprometer la seguridad del certificado.

Autoridad certificadora

Una autoridad certificadora, o CA, es una entidad que emite certificados digitales y verifica que quien solicita el certificado controla el dominio o representa a la organización.

Ejemplos conocidos:

  • Let’s Encrypt.
  • DigiCert.
  • Sectigo.
  • GlobalSign.
  • Entrust.
  • Google Trust Services.
  • Amazon Trust Services.
  • ZeroSSL.

Por qué tu web necesita un certificado SSL

Un certificado SSL no es solo “algo técnico”. Afecta directamente a seguridad, confianza, SEO, conversiones y reputación.

1. Protege los datos de los usuarios

La razón principal para usar SSL es proteger la información que se intercambia entre el usuario y la web.

Esto es imprescindible si tu web tiene:

  • Formularios de contacto.
  • Login.
  • Registro de usuarios.
  • Área privada.
  • Suscripción a newsletter.
  • Comentarios.
  • Pagos online.
  • Reservas.
  • Descargas privadas.
  • CRM.
  • Tienda online.
  • Datos personales.
  • Datos bancarios.
  • Panel de administración.

Ejemplo

Si un usuario introduce su email en una newsletter, esa información debería viajar cifrada.

Si un cliente compra en una tienda online, la conexión debe proteger datos de sesión, direcciones, tokens y cualquier información sensible.

Aunque la pasarela de pago procese la tarjeta fuera de tu web, tu tienda sigue manejando sesiones, carritos, datos personales y pedidos.

2. Genera confianza en los visitantes

Los usuarios están acostumbrados a ver el candado o el indicador de conexión segura. Cuando una web muestra “No seguro”, genera dudas.

Una web sin SSL puede transmitir:

  • Descuido.
  • Falta de profesionalidad.
  • Riesgo.
  • Desconfianza.
  • Posible abandono.
  • Menor intención de compra.

Esto es especialmente grave en:

  • Ecommerce.
  • Clínicas.
  • Asesorías.
  • Despachos.
  • Academias.
  • Empresas B2B.
  • Webs de reservas.
  • Formularios de captación.
  • Páginas de servicios.

La confianza afecta a la conversión

Aunque SSL no sea el único factor de conversión, sí elimina una barrera psicológica. Si el usuario duda de la seguridad de tu web, es menos probable que compre, rellene un formulario o deje sus datos.

3. Es importante para el SEO

Google anunció en 2014 que empezaba a usar HTTPS como señal de ranking, aunque inicialmente como una señal ligera. Google también recomendó buenas prácticas para migrar a HTTPS, como elegir el tipo de certificado adecuado y no bloquear el sitio HTTPS en robots.txt.

Esto no significa que instalar SSL vaya a llevar automáticamente tu web al top 1. El contenido, la intención de búsqueda, la autoridad, la experiencia y la calidad siguen siendo mucho más importantes.

Pero, entre dos webs similares, HTTPS es un estándar esperado.

SSL y SEO técnico

Además del ranking, HTTPS afecta a:

  • Indexación correcta.
  • Canónicas.
  • Sitemaps.
  • Redirecciones.
  • Analítica.
  • Datos de referencia.
  • Experiencia de usuario.
  • Compatibilidad con navegadores.
  • Confianza en resultados.

Una mala migración de HTTP a HTTPS puede causar problemas SEO si no se hace correctamente.

4. Evita avisos de “sitio no seguro”

Los navegadores modernos muestran avisos cuando una web no usa HTTPS o cuando el certificado tiene problemas.

Estos avisos pueden aparecer en casos como:

  • Web sin certificado.
  • Certificado caducado.
  • Certificado no válido.
  • Dominio no incluido en el certificado.
  • Contenido mixto.
  • Cadena incompleta.
  • Certificado autofirmado.
  • Configuración TLS insegura.

Un aviso de seguridad puede hacer que el usuario abandone inmediatamente.

5. Es imprescindible para tiendas online

Si tienes ecommerce, el SSL es obligatorio en la práctica.

Una tienda online necesita HTTPS para:

  • Login de clientes.
  • Carrito.
  • Checkout.
  • Direcciones.
  • Pedidos.
  • Cupones.
  • Pasarelas de pago.
  • Cookies de sesión.
  • Panel de administración.
  • Integraciones externas.

Además, muchas pasarelas y servicios no funcionan correctamente en sitios sin HTTPS.

Aunque uses Stripe, PayPal o Redsys

Incluso si los datos de tarjeta no pasan directamente por tu servidor, tu web sigue necesitando HTTPS. El checkout, la sesión del usuario y los datos personales deben estar protegidos.

6. Es necesario para formularios y captación de leads

Si tu web tiene formularios de contacto, suscripción o solicitud de presupuesto, necesitas SSL.

Los formularios suelen recoger:

  • Nombre.
  • Email.
  • Teléfono.
  • Empresa.
  • Mensaje.
  • Presupuesto.
  • Datos profesionales.
  • Preferencias.
  • Información personal.

Pedir datos en una web sin HTTPS es una mala práctica.

7. Mejora la profesionalidad de tu marca

Una web con HTTPS transmite más seriedad. Una web sin SSL parece antigua o abandonada.

Esto importa especialmente si quieres posicionarte como:

  • Empresa tecnológica.
  • Consultoría.
  • Agencia.
  • Profesional sanitario.
  • Asesoría.
  • Ecommerce.
  • Medio digital.
  • Blog profesional.
  • Academia online.
  • Proveedor B2B.

8. Permite usar tecnologías modernas

Muchas funciones modernas requieren HTTPS o funcionan mejor con HTTPS:

  • Progressive Web Apps.
  • Service workers.
  • Geolocalización.
  • Notificaciones push.
  • APIs del navegador.
  • Pagos web.
  • HTTP/2.
  • HTTP/3.
  • Integraciones seguras.
  • Login social.
  • Sistemas de analítica.
  • Herramientas de marketing.

Tipos de certificados SSL

No todos los certificados SSL son iguales. La elección depende de tu web, número de dominios, subdominios y nivel de validación necesario.

Certificado DV

DV significa Domain Validation, o validación de dominio.

Es el certificado más básico y común. La autoridad certificadora solo verifica que controlas el dominio.

Ventajas

  • Rápido de emitir.
  • Barato o gratuito.
  • Suficiente para la mayoría de webs.
  • Ideal para blogs.
  • Ideal para webs corporativas.
  • Compatible con HTTPS.
  • Fácil de renovar automáticamente.

Inconvenientes

  • No valida legalmente la identidad de la empresa.
  • Solo acredita control del dominio.

Para quién es recomendable

  • Blogs.
  • Webs informativas.
  • Pequeñas empresas.
  • Landing pages.
  • Portfolios.
  • Webs personales.
  • Proyectos con formularios simples.
  • Sitios WordPress.

Let’s Encrypt emite certificados DV gratuitos y automatizables, por eso se ha convertido en una opción muy habitual para webs pequeñas y medianas.

Certificado OV

OV significa Organization Validation, o validación de organización.

Además de verificar el dominio, la autoridad certificadora comprueba datos de la empresa u organización.

Ventajas

  • Valida la organización.
  • Más adecuado para empresas.
  • Aporta más información en el certificado.
  • Recomendable para negocios con mayor exposición.

Inconvenientes

  • Más caro que DV.
  • Emisión más lenta.
  • Requiere documentación.

Para quién es recomendable

  • Empresas medianas.
  • Organizaciones.
  • Instituciones.
  • Webs corporativas con alto nivel de confianza.
  • Plataformas B2B.
  • Proveedores de servicios profesionales.

Certificado EV

EV significa Extended Validation, o validación extendida.

Es el nivel de validación más alto. La autoridad certificadora realiza comprobaciones más estrictas sobre la entidad solicitante.

Ventajas

  • Mayor validación empresarial.
  • Útil para organizaciones donde la confianza es crítica.
  • Puede ser relevante en banca, fintech, seguros o grandes empresas.

Inconvenientes

  • Más caro.
  • Proceso más largo.
  • En navegadores modernos ya no destaca visualmente tanto como antes.
  • No mejora el cifrado frente a DV u OV.

Para quién es recomendable

  • Bancos.
  • Fintech.
  • Grandes empresas.
  • Aseguradoras.
  • Instituciones.
  • Organizaciones con alto riesgo de suplantación.

Para la mayoría de pymes, un EV no es necesario.

Certificado Wildcard

Un certificado Wildcard protege un dominio y todos sus subdominios de primer nivel.

Ejemplo:

*.tudominio.com

Puede proteger:

  • www.tudominio.com
  • blog.tudominio.com
  • tienda.tudominio.com
  • app.tudominio.com
  • clientes.tudominio.com

Ventajas

  • Protege varios subdominios.
  • Simplifica gestión.
  • Útil para empresas con muchas áreas.
  • Puede ahorrar costes.

Inconvenientes

  • Si se compromete la clave, afecta a todos los subdominios cubiertos.
  • Puede requerir validación DNS.
  • No cubre subdominios de segundo nivel como a.b.tudominio.com.

Para quién es recomendable

  • Empresas con varios subdominios.
  • SaaS.
  • Plataformas online.
  • Academias.
  • Ecommerce con subdominios.
  • Webs con app, blog y área privada.

Certificado multidominio

También llamado SAN certificate o UCC certificate.

Permite proteger varios dominios diferentes en un mismo certificado.

Ejemplo:

  • tudominio.com
  • tumarca.es
  • tumarca.net
  • otraempresa.com

Ventajas

  • Protege varios dominios.
  • Simplifica renovaciones.
  • Útil para grupos empresariales.
  • Bueno para proyectos con varias marcas.

Inconvenientes

  • Puede ser más caro.
  • La gestión puede ser más delicada.
  • Si necesitas cambiar dominios, hay que reemitir.

Para quién es recomendable

  • Empresas con varias marcas.
  • Negocios con dominios internacionales.
  • Proyectos multisite.
  • Agencias.
  • Plataformas con varios dominios.

Certificado autofirmado

Un certificado autofirmado no está emitido por una autoridad certificadora reconocida.

Ventajas

  • Gratis.
  • Útil para pruebas internas.
  • Puede servir en entornos de desarrollo.

Inconvenientes

  • Los navegadores no lo consideran confiable.
  • Genera avisos de seguridad.
  • No sirve para una web pública profesional.
  • No genera confianza.

Para quién es recomendable

  • Desarrollo local.
  • Laboratorios.
  • Pruebas internas.
  • Entornos cerrados.

No debe usarse en una web pública.

Certificado SSL gratuito vs certificado SSL de pago

Una duda habitual es si vale la pena pagar por un certificado SSL cuando existen opciones gratuitas como Let’s Encrypt.

Certificados gratuitos

El caso más conocido es Let’s Encrypt, que ofrece certificados DV gratuitos y automatizables.

Ventajas

  • Gratis.
  • Automatización.
  • Rápidos de emitir.
  • Suficientes para la mayoría de webs.
  • Compatibles con navegadores.
  • Ideales para WordPress, blogs, pymes y proyectos web.

Inconvenientes

  • Normalmente solo validación de dominio.
  • Soporte limitado o comunitario.
  • Renovaciones frecuentes.
  • Menos adecuado si necesitas validación empresarial OV/EV.
  • Requiere automatización bien configurada.

Let’s Encrypt indica que sus certificados tienen límites de emisión, como hasta 50 certificados por dominio registrado cada 7 días, y recomienda automatizar correctamente la gestión para evitar problemas.

Certificados de pago

Los certificados de pago pueden ser DV, OV, EV, Wildcard o multidominio.

Ventajas

  • Opciones OV y EV.
  • Soporte comercial.
  • Garantías comerciales.
  • Gestión empresarial.
  • Recomendables para organizaciones con requisitos específicos.
  • Útiles en entornos corporativos.

Inconvenientes

  • Coste.
  • Renovación.
  • Validación más lenta.
  • No necesariamente cifran “más fuerte” que un DV bien configurado.

Cuál elegir

Para la mayoría de webs:

  • Blog: SSL gratuito DV.
  • Web corporativa pequeña: SSL gratuito DV o DV de hosting.
  • Ecommerce pequeño: DV gratuito bien configurado suele ser suficiente.
  • Empresa mediana: OV puede tener sentido.
  • Banco o fintech: OV o EV.
  • Muchos subdominios: Wildcard.
  • Varias marcas: multidominio.

Cuánto cuesta un certificado SSL

El precio depende del tipo de certificado y del proveedor.

SSL gratuito

Puede costar 0 € si tu hosting incluye Let’s Encrypt o certificado automático.

Ideal para:

  • Blogs.
  • Webs WordPress.
  • Landing pages.
  • Pequeñas empresas.
  • Proyectos personales.
  • Webs con formularios básicos.

SSL DV de pago

Puede costar desde pocos euros al año hasta varias decenas, según proveedor.

SSL Wildcard

Suele ser más caro, aunque también puede emitirse gratuitamente con Let’s Encrypt si se valida correctamente mediante DNS.

SSL OV

Puede costar desde decenas hasta cientos de euros al año.

SSL EV

Suele ser más caro y puede costar cientos de euros al año.

Coste real

A veces el certificado es gratuito, pero la instalación o mantenimiento puede tener coste si:

  • Tu hosting no lo automatiza.
  • Necesitas soporte técnico.
  • Tienes servidor propio.
  • Tienes varios dominios.
  • Necesitas Wildcard.
  • Necesitas OV/EV.
  • Requieres auditoría o cumplimiento.

Cambios recientes en la duración de los certificados SSL/TLS

Un punto importante para 2026 es que la duración máxima de los certificados públicos TLS está reduciéndose.

El CA/Browser Forum recoge en sus requisitos que, desde el 15 de marzo de 2026, la validez máxima de los certificados de suscriptor es de 200 días.

DigiCert explicó el calendario de reducción: certificados de 398 días hasta marzo de 2026, 200 días desde marzo de 2026, 100 días desde marzo de 2027 y 47 días desde marzo de 2029.

Qué significa esto para tu web

Significa que cada vez será más importante automatizar renovaciones.

Antes, muchas empresas podían renovar manualmente una vez al año. Con duraciones más cortas, ese enfoque será más arriesgado.

Riesgo principal

El mayor riesgo es que el certificado caduque y la web muestre un aviso de seguridad.

Esto puede causar:

  • Pérdida de ventas.
  • Caída de formularios.
  • Abandono de usuarios.
  • Problemas con APIs.
  • Errores en apps.
  • Mala imagen.
  • Incidencias SEO temporales.

Recomendación

Usa renovación automática siempre que puedas.

Qué pasa cuando un certificado SSL caduca

Cuando un certificado caduca, los navegadores dejan de confiar en la conexión.

El usuario puede ver avisos como:

  • “La conexión no es privada”.
  • “Este sitio no es seguro”.
  • “NET::ERR_CERT_DATE_INVALID”.
  • “El certificado ha caducado”.
  • “Los atacantes podrían estar intentando robar tu información”.

Consecuencias

  • Los usuarios abandonan.
  • Las ventas se frenan.
  • Los formularios dejan de convertir.
  • Las integraciones pueden fallar.
  • Googlebot puede tener problemas de acceso.
  • La reputación se daña.

Cómo evitarlo

  • Renovación automática.
  • Alertas de caducidad.
  • Monitorización externa.
  • Gestión centralizada de certificados.
  • Revisiones periódicas.
  • ACME si usas Let’s Encrypt.
  • Documentar qué certificados tienes.

Cómo saber si tu web tiene SSL

Puedes comprobarlo de varias formas.

1. Mira la URL

Si empieza por:

https://

Tiene HTTPS activo.

Si empieza por:

http://

No está cargando con HTTPS.

2. Revisa el icono del navegador

Haz clic en el candado o icono de información del navegador para ver detalles de conexión.

3. Comprueba el certificado

Puedes ver:

  • Dominio.
  • Emisor.
  • Fecha de caducidad.
  • Validez.
  • Cadena.
  • Tipo.

4. Usa herramientas externas

Puedes usar:

  • SSL Labs.
  • Why No Padlock.
  • SSL Checker.
  • Herramientas del hosting.
  • Chrome DevTools.
  • Security Headers.

5. Revisa Search Console

Google Search Console puede mostrar problemas relacionados con indexación, experiencia o HTTPS.

Cómo instalar un certificado SSL

La instalación depende del hosting, servidor o plataforma que uses.

Instalar SSL en un hosting compartido

Muchos hostings incluyen SSL gratis.

Pasos habituales:

  1. Entra en el panel de hosting.
  2. Busca “SSL”, “Security” o “Let’s Encrypt”.
  3. Selecciona el dominio.
  4. Activa certificado.
  5. Espera emisión.
  6. Fuerza HTTPS.
  7. Revisa la web.
  8. Corrige contenido mixto.

Paneles habituales:

  • cPanel.
  • Plesk.
  • DirectAdmin.
  • Panel propio del hosting.

Instalar SSL en WordPress

En WordPress, el proceso suele ser:

  1. Activar SSL en el hosting.
  2. Cambiar URL de WordPress a HTTPS.
  3. Forzar redirección HTTP a HTTPS.
  4. Corregir enlaces internos.
  5. Actualizar recursos.
  6. Revisar contenido mixto.
  7. Actualizar sitemap.
  8. Revisar Search Console.

Plugins útiles

  • Really Simple SSL.
  • Rank Math.
  • Yoast SEO.
  • Better Search Replace.
  • Redirection.
  • WP Rocket o plugins de caché.

Cuidado

No instales solo un plugin si el certificado no está emitido en el servidor. El plugin ayuda a configurar WordPress, pero el certificado debe existir.

Instalar SSL en Cloudflare

Cloudflare puede actuar como proxy y ofrecer SSL/TLS.

Modos habituales:

  • Off.
  • Flexible.
  • Full.
  • Full Strict.

Recomendación

Usa Full Strict siempre que sea posible. Esto significa que la conexión entre usuario y Cloudflare va cifrada, y también la conexión entre Cloudflare y tu servidor de origen.

Cuidado con Flexible SSL

El modo Flexible cifra solo entre navegador y Cloudflare, pero no necesariamente entre Cloudflare y tu servidor. Puede causar bucles de redirección y no ofrece cifrado completo extremo a extremo.

Instalar SSL en VPS o servidor propio

Si tienes un VPS, puedes usar Let’s Encrypt con Certbot u otro cliente ACME.

Pasos generales:

  1. Apuntar DNS al servidor.
  2. Instalar servidor web.
  3. Instalar Certbot o cliente ACME.
  4. Emitir certificado.
  5. Configurar Nginx o Apache.
  6. Activar renovación automática.
  7. Probar renovación.
  8. Revisar configuración TLS.

Servidores habituales

  • Nginx.
  • Apache.
  • LiteSpeed.
  • Caddy.

Caddy, por ejemplo, puede gestionar HTTPS automáticamente en muchos escenarios.

Instalar SSL en Shopify, Wix, Squarespace o plataformas SaaS

Muchas plataformas incluyen SSL automáticamente.

Normalmente solo debes:

  • Conectar el dominio.
  • Esperar propagación DNS.
  • Activar SSL si no se activa solo.
  • Verificar que todas las URLs cargan en HTTPS.

En estas plataformas, la gestión técnica suele ser mucho más sencilla.

Qué es el contenido mixto

El contenido mixto ocurre cuando una página carga por HTTPS, pero algunos recursos siguen cargando por HTTP.

Ejemplo:

La página carga en:

https://tudominio.com

Pero una imagen carga desde:

http://tudominio.com/imagen.jpg

Por qué es un problema

Puede provocar:

  • Avisos de seguridad.
  • Candado roto.
  • Bloqueo de recursos.
  • Problemas visuales.
  • Pérdida de confianza.
  • Errores en scripts o estilos.

Tipos de contenido mixto

  • Imágenes HTTP.
  • Scripts HTTP.
  • CSS HTTP.
  • Fuentes HTTP.
  • Iframes HTTP.
  • Vídeos HTTP.
  • APIs HTTP.

Cómo solucionarlo

  • Cambiar URLs internas a HTTPS.
  • Usar búsqueda y reemplazo en base de datos.
  • Actualizar plantillas.
  • Revisar CSS.
  • Actualizar plugins.
  • Cambiar recursos externos.
  • Usar CDN con HTTPS.
  • Revisar con DevTools.

Cómo migrar una web de HTTP a HTTPS sin perder SEO

Migrar a HTTPS es necesario, pero debe hacerse bien.

Paso 1: instala el certificado

Antes de tocar URLs, asegúrate de que el certificado funciona.

Paso 2: fuerza redirección 301

Todas las URLs HTTP deben redirigir a HTTPS.

Ejemplo:

http://tudominio.com/post

Debe redirigir a:

https://tudominio.com/post

Paso 3: actualiza URLs internas

Cambia enlaces internos, imágenes, scripts y referencias.

Paso 4: actualiza canonical

Las etiquetas canonical deben apuntar a la versión HTTPS.

Paso 5: actualiza sitemap

El sitemap XML debe incluir URLs HTTPS.

Paso 6: actualiza robots.txt si hace falta

Asegúrate de no bloquear HTTPS.

Google recomendó no bloquear el sitio HTTPS mediante robots.txt al migrar.

Paso 7: añade la propiedad en Search Console

Según el tipo de propiedad, verifica que Search Console recoge la versión HTTPS correctamente.

Paso 8: actualiza enlaces externos importantes

Si puedes, actualiza enlaces en:

  • Google Business Profile.
  • Redes sociales.
  • Directorios.
  • Email marketing.
  • Firmas de correo.
  • Campañas.
  • Plataformas externas.

Paso 9: revisa contenido mixto

Asegúrate de que no hay recursos cargando por HTTP.

Paso 10: monitoriza tráfico

Durante las semanas siguientes, revisa:

  • Indexación.
  • Clics.
  • Errores.
  • Redirecciones.
  • Posiciones.
  • Canónicas.
  • Sitemap.
  • Experiencia de página.

Errores frecuentes con certificados SSL

Certificado caducado

Es uno de los errores más comunes.

Solución:

  • Renovar certificado.
  • Activar renovación automática.
  • Configurar alertas.

Certificado para otro dominio

Ocurre cuando el certificado no incluye el dominio visitado.

Ejemplo:

El certificado cubre:

midominio.com

Pero el usuario visita:

www.midominio.com

Si www no está incluido, puede fallar.

Solución:

  • Incluir dominio con y sin www.
  • Usar SAN.
  • Reemitir certificado.

Cadena incompleta

El servidor no envía correctamente certificados intermedios.

Solución:

  • Instalar cadena completa.
  • Revisar configuración.
  • Usar SSL checker.

Contenido mixto

La web carga por HTTPS pero algunos recursos por HTTP.

Solución:

  • Actualizar URLs.
  • Revisar base de datos.
  • Corregir recursos externos.

Redirecciones mal configuradas

Problemas típicos:

  • Bucle infinito.
  • HTTP no redirige.
  • www y no-www duplicados.
  • Redirección a URL incorrecta.
  • Demasiados saltos.

Solución:

  • Revisar reglas en servidor.
  • Configurar una versión preferida.
  • Usar 301.
  • Evitar cadenas largas.

Certificado autofirmado en producción

Genera aviso de seguridad.

Solución:

  • Usar certificado emitido por CA confiable.

TLS antiguo

Protocolos antiguos pueden ser inseguros.

Solución:

  • Desactivar TLS 1.0 y TLS 1.1.
  • Usar TLS 1.2 y TLS 1.3.
  • Revisar configuración de cifrado.

No renovar certificados en servidores secundarios

A veces se renueva el certificado principal, pero no el de:

  • CDN.
  • API.
  • Subdominio.
  • Panel admin.
  • Servidor staging.
  • App móvil.
  • Balanceador.
  • Correo.
  • Proxy.

Solución:

  • Inventario completo de certificados.

SSL y ecommerce

En una tienda online, SSL es imprescindible.

Zonas críticas

  • Home.
  • Categorías.
  • Productos.
  • Carrito.
  • Checkout.
  • Login.
  • Mi cuenta.
  • Pasarela.
  • Área de pedidos.
  • Formularios.
  • Panel de administración.

Riesgos de no tener SSL

  • Avisos del navegador.
  • Carritos abandonados.
  • Desconfianza.
  • Problemas con pasarelas.
  • Posible incumplimiento de buenas prácticas.
  • Riesgo para datos personales.
  • Menor conversión.

Recomendación

Para ecommerce pequeño o mediano:

  • HTTPS en toda la web.
  • Certificado válido.
  • Redirecciones correctas.
  • Sin contenido mixto.
  • TLS moderno.
  • HSTS si está bien configurado.
  • Renovación automática.
  • Monitorización de expiración.
  • Pasarela de pago segura.
  • Plugins actualizados.

SSL y WordPress

WordPress es uno de los CMS más usados y suele ser fácil activar SSL si el hosting es bueno.

Pasos recomendados

  1. Activa SSL en hosting.
  2. Cambia URLs del sitio a HTTPS.
  3. Fuerza redirección.
  4. Corrige contenido mixto.
  5. Actualiza enlaces internos.
  6. Revisa plugins.
  7. Purga caché.
  8. Actualiza CDN.
  9. Revisa Search Console.
  10. Prueba formularios y checkout.

Errores comunes en WordPress

  • URLs antiguas en base de datos.
  • Imágenes HTTP.
  • CSS con rutas absolutas HTTP.
  • Plugins antiguos.
  • CDN mal configurada.
  • Caché sirviendo versión HTTP.
  • Redirecciones duplicadas entre plugin y servidor.
  • Mixed content en Elementor, sliders o constructores visuales.

SSL y SEO: buenas prácticas

Usa HTTPS en toda la web

No protejas solo el checkout o el login. Toda la web debe cargar por HTTPS.

Redirige HTTP a HTTPS

Usa redirección 301 permanente.

Evita versiones duplicadas

Define una sola versión:

  • https://tudominio.com
  • o https://www.tudominio.com

No dejes accesibles todas las combinaciones:

  • http://tudominio.com
  • http://www.tudominio.com
  • https://tudominio.com
  • https://www.tudominio.com

Actualiza canonical

Las canónicas deben apuntar a HTTPS.

Actualiza sitemap

El sitemap debe contener URLs HTTPS.

Actualiza enlaces internos

No dependas solo de redirecciones.

Revisa hreflang

Si tienes web multidioma, las etiquetas hreflang deben apuntar a versiones HTTPS.

Revisa datos estructurados

Si tus datos estructurados incluyen URLs, deben usar HTTPS.

Revisa enlaces en Search Console

Comprueba que Google indexa la versión correcta.

Qué es HSTS

HSTS significa HTTP Strict Transport Security.

Es una cabecera de seguridad que indica al navegador que siempre debe cargar la web por HTTPS.

Ventajas

  • Evita conexiones HTTP accidentales.
  • Refuerza seguridad.
  • Reduce riesgo de ciertos ataques.
  • Mejora consistencia de HTTPS.

Inconvenientes

  • Si se configura mal, puede causar problemas.
  • No debe activarse sin comprobar que HTTPS funciona perfectamente.
  • El preload es especialmente delicado.

Cuándo activarlo

Actívalo cuando:

  • Toda la web funciona en HTTPS.
  • No hay contenido mixto.
  • Todos los subdominios necesarios tienen SSL.
  • Las redirecciones están bien.
  • Tienes control técnico suficiente.

Qué es TLS 1.3

TLS 1.3 es una versión moderna del protocolo TLS.

Ventajas

  • Más seguridad.
  • Mejor rendimiento.
  • Menos pasos en la negociación.
  • Elimina algoritmos antiguos.
  • Mejora la eficiencia de conexiones.

Recomendación

Usa TLS 1.2 y TLS 1.3. Evita TLS 1.0 y TLS 1.1.

Qué es OCSP stapling

OCSP stapling es una técnica que ayuda al navegador a comprobar el estado de revocación del certificado de forma más eficiente.

Ventajas

  • Mejora rendimiento.
  • Mejora privacidad.
  • Ayuda a validar certificados.
  • Reduce consultas externas.

Es una configuración más técnica, pero recomendable en servidores bien administrados.

SSL en subdominios

Si tienes subdominios, asegúrate de que también están protegidos.

Ejemplos:

  • blog.tudominio.com
  • tienda.tudominio.com
  • app.tudominio.com
  • api.tudominio.com
  • clientes.tudominio.com
  • admin.tudominio.com

Opciones

  • Certificado individual para cada subdominio.
  • Certificado Wildcard.
  • Certificado multidominio.

Cuidado

No asumas que proteger tudominio.com protege automáticamente todos los subdominios. Depende del certificado.

SSL en CDN

Si usas CDN, como Cloudflare, Fastly, BunnyCDN o similar, debes proteger dos tramos:

  1. Usuario → CDN.
  2. CDN → servidor de origen.

Error habitual

Tener HTTPS entre usuario y CDN, pero HTTP entre CDN y servidor.

Recomendación

Cifrado completo extremo a extremo siempre que sea posible.

SSL y correo electrónico

Un certificado SSL para web no es exactamente lo mismo que la seguridad del correo, pero el correo también necesita conexiones cifradas.

Protocolos relacionados:

  • SMTPS.
  • IMAPS.
  • POP3S.
  • STARTTLS.

Además, para correo debes configurar:

  • SPF.
  • DKIM.
  • DMARC.

No confundas SSL web con autenticación de email. Son piezas distintas.

SSL y APIs

Si tu web usa APIs, también deben usar HTTPS.

Ejemplos:

  • API de pagos.
  • API de reservas.
  • API de CRM.
  • API de newsletter.
  • API de app móvil.
  • API interna.
  • Webhooks.

Riesgos de APIs sin HTTPS

  • Exposición de tokens.
  • Robo de datos.
  • Manipulación de información.
  • Problemas con navegadores.
  • Rechazo por servicios externos.

Certificados SSL y cumplimiento legal

SSL no te hace cumplir automáticamente el RGPD, pero ayuda a proteger datos personales durante la transmisión.

Si recoges datos personales, debes combinar SSL con:

  • Política de privacidad.
  • Consentimiento adecuado.
  • Formularios legales.
  • Minimización de datos.
  • Seguridad de almacenamiento.
  • Control de accesos.
  • Copias de seguridad.
  • Actualizaciones.
  • Contratos con proveedores.
  • Gestión de brechas.

SSL protege la comunicación, pero no protege por sí solo la base de datos, el servidor, WordPress, plugins, contraseñas o copias de seguridad.

Mitos sobre los certificados SSL

“SSL hace que mi web sea totalmente segura”

Falso.

SSL cifra la conexión, pero no protege contra:

  • Malware.
  • Plugins vulnerables.
  • Contraseñas débiles.
  • Inyección SQL.
  • XSS.
  • Servidor desactualizado.
  • Phishing.
  • Robo de cuentas.
  • Mala configuración.
  • Backups expuestos.

SSL es necesario, pero no suficiente.

“Si tengo candado, la web es legítima”

Falso.

Una web de phishing también puede tener HTTPS. El candado indica conexión cifrada, no necesariamente que el negocio sea confiable.

“Un SSL de pago cifra más que uno gratuito”

No necesariamente.

Un certificado DV gratuito bien configurado puede usar cifrado fuerte. La diferencia con certificados de pago suele estar en validación, soporte, garantía o funciones adicionales.

“Solo las tiendas online necesitan SSL”

Falso.

Cualquier web moderna debería usar HTTPS, incluso un blog.

“Instalar SSL mejora automáticamente mi SEO”

Falso.

HTTPS es una señal positiva, pero no sustituye contenido de calidad, autoridad, intención de búsqueda, velocidad y buena arquitectura.

“Con Cloudflare Flexible SSL ya es suficiente”

No siempre.

Flexible SSL puede dejar sin cifrar el tramo entre Cloudflare y servidor. Mejor usar Full Strict.

Checklist para saber si tu SSL está bien configurado

Certificado

  • ¿El certificado está activo?
  • ¿No ha caducado?
  • ¿Incluye dominio con y sin www?
  • ¿Incluye subdominios necesarios?
  • ¿Está emitido por una CA confiable?
  • ¿La cadena está completa?

HTTPS

  • ¿Toda la web carga con HTTPS?
  • ¿HTTP redirige a HTTPS?
  • ¿No hay bucles de redirección?
  • ¿No hay contenido mixto?
  • ¿El sitemap usa HTTPS?
  • ¿Las canonical usan HTTPS?
  • ¿Los enlaces internos usan HTTPS?

Seguridad

  • ¿TLS 1.2 y TLS 1.3 están activos?
  • ¿TLS antiguos están desactivados?
  • ¿HSTS está configurado si procede?
  • ¿La clave privada está protegida?
  • ¿La renovación es automática?
  • ¿Hay alertas de caducidad?

SEO

  • ¿Search Console reconoce la versión HTTPS?
  • ¿Google indexa URLs HTTPS?
  • ¿No hay duplicados HTTP/HTTPS?
  • ¿Las redirecciones son 301?
  • ¿Los backlinks importantes apuntan a HTTPS?
  • ¿No hay recursos bloqueados?

Cómo comprobar la calidad de tu configuración SSL

Puedes usar herramientas como:

  • SSL Labs Server Test.
  • SSL Checker.
  • Why No Padlock.
  • Chrome DevTools.
  • Security Headers.
  • PageSpeed Insights.
  • Search Console.

Qué buscar

  • Nota general.
  • Cadena completa.
  • Protocolos soportados.
  • Cifrados débiles.
  • Fecha de caducidad.
  • Contenido mixto.
  • HSTS.
  • Compatibilidad con navegadores.
  • Errores de nombre de dominio.

SSL para blogs

Un blog también necesita SSL.

Motivos

  • Mejora confianza.
  • Evita avisos de navegador.
  • Protege formularios de comentarios.
  • Protege newsletter.
  • Ayuda al SEO técnico.
  • Mejora imagen profesional.
  • Permite tecnologías modernas.
  • Es esperado por usuarios.

Recomendación

Para un blog WordPress, normalmente basta con Let’s Encrypt gratuito incluido en el hosting.

SSL para empresas

Una empresa debe cuidar más la configuración.

Recomendaciones

  • Certificado válido en dominio principal.
  • HTTPS en todos los subdominios.
  • Renovación automática.
  • Monitorización.
  • Inventario de certificados.
  • Políticas de seguridad.
  • HSTS si procede.
  • TLS moderno.
  • Certificado OV si se quiere validación empresarial.
  • Revisión periódica.

SSL para ecommerce

Una tienda online debe tener una configuración impecable.

Recomendaciones

  • HTTPS en toda la tienda.
  • Certificado válido.
  • Checkout seguro.
  • Sin contenido mixto.
  • Cookies seguras.
  • HSTS si procede.
  • TLS moderno.
  • Monitorización de caducidad.
  • Backups.
  • WAF.
  • Plugins actualizados.
  • Pasarela de pago segura.

SSL para SaaS y aplicaciones web

Un SaaS o app web necesita SSL en:

  • Dominio principal.
  • App.
  • API.
  • Panel de administración.
  • Webhooks.
  • Subdominios de clientes.
  • Documentación.
  • CDN.
  • Entornos de producción.

Recomendaciones

  • Automatización ACME.
  • Gestión centralizada.
  • Wildcard si procede.
  • Rotación de certificados.
  • Monitorización.
  • TLS 1.3.
  • HSTS.
  • Control de claves privadas.

SSL para Tecno Info Hoy o un blog tecnológico

Para una web como Tecno Info Hoy, un SSL bien configurado es imprescindible.

Por qué

  • Es un blog de tecnología y debe transmitir confianza.
  • Puede tener formularios de contacto.
  • Puede captar suscriptores.
  • Puede usar afiliación.
  • Puede enlazar herramientas y servicios.
  • Puede tener analítica, cookies y scripts.
  • Necesita buena base SEO.
  • Los usuarios esperan seguridad en una web tecnológica.

Recomendación

Para este tipo de web:

  • Let’s Encrypt gratuito suele ser suficiente.
  • HTTPS obligatorio en toda la web.
  • Redirección 301 desde HTTP.
  • Sin contenido mixto.
  • Sitemap HTTPS.
  • Canonicals HTTPS.
  • Search Console configurado.
  • TLS moderno.
  • Renovación automática.
  • Monitorización de caducidad.

Cómo elegir el certificado SSL adecuado

Si tienes un blog

Elige:

  • DV gratuito.
  • Let’s Encrypt.
  • SSL incluido en hosting.

Si tienes una web corporativa pequeña

Elige:

  • DV gratuito o de pago.
  • OV si quieres validación empresarial.

Si tienes una tienda online

Elige:

  • DV bien configurado si eres pyme.
  • OV si quieres más validación corporativa.
  • Wildcard si usas subdominios.

Si tienes varios subdominios

Elige:

  • Wildcard.

Si tienes varias marcas o dominios

Elige:

  • Multidominio.

Si eres banco, fintech o gran empresa

Elige:

  • OV o EV.
  • Gestión empresarial.
  • Monitorización.
  • Automatización.

Cómo mantener tu SSL correctamente

Automatiza la renovación

Con certificados cada vez más cortos, la automatización es clave.

Configura alertas

Recibe avisos antes de que caduque:

  • 30 días antes.
  • 15 días antes.
  • 7 días antes.
  • 1 día antes.

Haz inventario

Documenta:

  • Dominio.
  • Subdominio.
  • Tipo de certificado.
  • Emisor.
  • Fecha de caducidad.
  • Responsable.
  • Método de renovación.
  • Servidor.
  • CDN.
  • Aplicación afectada.

Revisa tras migraciones

Cada vez que cambies hosting, CDN, dominio o servidor, revisa SSL.

Evita claves privadas expuestas

No subas claves privadas a repositorios, emails o carpetas públicas.

Usa herramientas de monitorización

Especialmente en empresas con varias webs o apps.

Problemas SEO comunes tras instalar SSL

Caída temporal de tráfico

Puede ocurrir si la migración no se hizo bien.

Causas:

  • Redirecciones incorrectas.
  • Sitemap antiguo.
  • Canonicals HTTP.
  • Bloqueo en robots.txt.
  • Contenido mixto.
  • Errores 404.
  • Duplicidad HTTP/HTTPS.
  • Search Console mal configurado.

Google indexa ambas versiones

Solución:

  • Redirección 301.
  • Canonical HTTPS.
  • Sitemap HTTPS.
  • Enlaces internos HTTPS.

Páginas no indexadas

Revisa:

  • Noindex.
  • Robots.txt.
  • Canonicals.
  • Estado HTTP.
  • Redirecciones.
  • Search Console.

Recursos rotos

Puede ocurrir con imágenes, CSS o JS en HTTP.

Solución:

  • Corregir contenido mixto.
  • Actualizar base de datos.
  • Revisar CDN.

Preguntas frecuentes sobre certificados SSL

¿Qué es un certificado SSL?

Es un certificado digital que permite cifrar la conexión entre el navegador del usuario y el servidor de una web, activando HTTPS.

¿SSL y TLS son lo mismo?

No exactamente. SSL es el protocolo antiguo y TLS es su evolución moderna. Aun así, el término “SSL” se sigue usando popularmente para referirse a certificados TLS.

¿Qué significa HTTPS?

HTTPS significa HTTP Secure. Es HTTP usando cifrado TLS/SSL para proteger la comunicación entre navegador y servidor.

¿Mi web necesita SSL?

Sí. Cualquier web moderna debería usar SSL, aunque no sea una tienda online.

¿Necesito SSL si solo tengo un blog?

Sí. Un blog también puede tener formularios, comentarios, newsletter, cookies, analítica y usuarios que esperan conexión segura.

¿SSL mejora el SEO?

HTTPS es una señal de ranking en Google, aunque no sustituye factores más importantes como contenido, autoridad e intención de búsqueda.

¿Un certificado SSL gratuito es suficiente?

Para la mayoría de blogs, webs corporativas pequeñas y proyectos WordPress, sí. Let’s Encrypt suele ser suficiente si está bien configurado.

¿Cuándo necesito un SSL de pago?

Cuando necesitas validación de organización, soporte comercial, EV, garantías, gestión empresarial o requisitos corporativos concretos.

¿Qué es Let’s Encrypt?

Es una autoridad certificadora que emite certificados SSL/TLS gratuitos y automatizables.

¿Cada cuánto se renueva un SSL?

Depende del certificado. En 2026 la duración máxima de certificados públicos TLS se ha reducido a 200 días, y seguirá bajando en los próximos años según el calendario del sector.

¿Qué pasa si mi certificado caduca?

El navegador mostrará avisos de seguridad y muchos usuarios abandonarán la web.

¿Qué es un certificado Wildcard?

Es un certificado que protege un dominio y sus subdominios de primer nivel, como *.tudominio.com.

¿Qué es un certificado multidominio?

Es un certificado que permite proteger varios dominios distintos en un solo certificado.

¿Qué es contenido mixto?

Es cuando una página carga por HTTPS pero algunos recursos, como imágenes o scripts, cargan por HTTP.

¿Cómo soluciono el contenido mixto?

Actualizando todas las URLs a HTTPS, revisando la base de datos, plantillas, plugins, CDN y recursos externos.

¿Necesito SSL si uso Cloudflare?

Sí. Cloudflare puede facilitar SSL, pero también debes proteger correctamente la conexión entre Cloudflare y tu servidor de origen. Lo recomendable es usar modo Full Strict.

¿Qué SSL necesito para WordPress?

Normalmente basta con un certificado DV gratuito de Let’s Encrypt incluido en tu hosting.

¿Qué SSL necesito para WooCommerce?

Un certificado DV bien configurado puede ser suficiente para muchas tiendas pequeñas. En empresas más grandes, puede tener sentido un OV.

¿Qué SSL necesito para varios subdominios?

Un certificado Wildcard suele ser lo más cómodo.

¿Qué SSL necesito para varias marcas?

Un certificado multidominio puede ser adecuado.

¿El candado significa que la web es 100 % segura?

No. El candado indica conexión cifrada, pero una web con HTTPS también puede ser vulnerable, fraudulenta o estar mal protegida.

¿Cómo compruebo si mi SSL está bien instalado?

Puedes usar el navegador, SSL Labs, SSL Checker, Why No Padlock, Search Console y Chrome DevTools.

¿Debo activar HSTS?

Sí, pero solo cuando estés seguro de que toda la web funciona correctamente con HTTPS y todos los subdominios necesarios están cubiertos.

¿Qué pasa si migro de HTTP a HTTPS mal?

Puedes generar errores de indexación, duplicidades, pérdida temporal de tráfico, contenido mixto o redirecciones incorrectas.

¿Cuál es la recomendación final?

Toda web debería usar HTTPS con un certificado SSL/TLS válido, renovado automáticamente y bien configurado. Para la mayoría de proyectos, un certificado gratuito de Let’s Encrypt es suficiente; para empresas con necesidades avanzadas, puede tener sentido un certificado OV, EV, Wildcard o multidominio.

Si quieres conocer otros artículos parecidos a Qué es un certificado SSL y por qué tu web lo necesita puedes visitar la categoría Blog.

Entradas Relacionadas